Categorie: IT General

Open-i Conference

Am avut ocazia zilele acestea să particip la Open-i Conference, o conferință pe teme IT&C, organizată și susținută de studenți și mediul de IT din Moldova.

Toate detaliile pe pagina conferinței: http://open-i.md/logo open i

A fost prima ediție, și sper că doar începutul pentru o serie de astfel de manifestări. Nu au participat atât de mulți studenți cât s-ar fi dorit, dar sper, pentru organizatori, că feedback-ul acestui eveniment, va aduce anul următor mult mai mulți participanți, din mai multe țări.

În ziua de vineri am avut ocazia de a vedea mai multe proiecte studențești cu idei inovatoare și curajoase, bazate pe elemente autentice de cercetare și în sensul rezolvării unor probleme, sociale, economice sau pur și simplu de life-style a cetățenilor moldoveni și nu numai.

Mi s-a părut destul de interesant proiectul Public TV, chiar dacă acest concept este mult prea ambițios pentru cerințele și posibilitățile tehnice a masei mari de potențiali utilizatori.

Spre sfârșitul zilei de luni am avut ocazia să le vorbesc zecilor, scuzați, celor 10 + 10 studenți care au mai rămas, despre CISCO. Cred că am spus de 10 ori cuvântul CISCO, pe timpul prezentării, și tot cam de 10 ori cuvântul JAVA (participanții știu de ce :) ), în rest am vorbit despre o perspectivă managerială de proiectare și administrare a unei rețele, pornind de la ”sârme” și încheind cu conceptele manageriale: C.I.A., SoD, ISO 27001, AfE (Access from Everywhere), Virtualizare, penetration testing si CEH și multe altele.

Sâmbătă am dat tonul de încheiere al conferinței printr-un Key Note Speach în care a trebuit să vorbesc în special despre educație, leadership, și pentru că mi s-a cerut, despre Imagine Cup. Nu a adormit nimeni, sau cel puțin nu am fost suficient de vigilent să observ toată sala. Un tonus pozitiv acestei zile a fost dat ulterior de secțiunea Talk Show, în care un rol deosebit l-a avut domnul vice-ministru Dorin Recean, din cadrul MTIC al Moldovei. Un personaj deschis, fără acel limbaj de lemn pe care îl detestăm la mulți politicieni. A spus lucrurile clar, deschis și fără ocolișuri sau fără a lăsa loc la interpretări. Strategia noastră este aceasta… Posibilitățile noastre sunt acestea… Vrem de la voi astea… Pe mine m-a impresionat în sens total pozitiv. Timp de două ore, cât a durat această secțiune, am fost asaltați, la propriu,  cu întrebări din public, care mai de care mai directe, mai stânjenitoare sau mai îndreptățite. Credem că atât domnul vice-ministru cât și eu ne-am descurcat și completat reciproc, dumnealui notându-și pe o agendă, fiecare problemă ridicată de cei din sală, și nu a dat nici un răspuns politic, de genul, mă voi documenta și vă voi comunica ulterior.

După cele două ore, am fost luați la separeu de auditoriu, într-un nou tir de întrebări, mai multe puncte de vedere interesante în aceste dezbateri avâd și domnișoara Elena Zamsa, FP7 National Contact Point in Moldova, pe secțiunea, ICT NCP (information & communication technologies), în special în încercarea de a –i convinge pe cei din sală să se implice în cât mai multe proiecte cu finanțare europeana.

Incontestabil, Moldova este o țară frumoasă, prin însăși căldura și frumusețea oamenilor. Nici gopile în astfalt nu ți se mai par atât de adânci dacă privești spre trotuar :). E drept că nu se vede încă un aer european în Chișinău, dar lumea răsuflă a libertate și a dorință de afirmare, de exprimare și de a… nu știu, poate… de speranță. Și totuși, parcă nu știu pe ce drum să meargă. Dintr-o dată orizonturile sunt altfel, mult mai largi. Sunt convins că dacă în noua conducere politică a Moldovei, există mai mulți oameni ca domnul Recean, nu pot să meargă decât pe drumul cel bun.

Felicit pe această pe acei tineri entuziaști din AIESEC Moldova, care au depus eforturi considerabile, chiar dacă pe alocuri stângace, de a organiza un astfel de eveniment.

La cât mai multe ediții!

SharePoint Fundation instrument pentru ISO 27001 (ep.1)

Într-un articol anterior spuneam că un instrument foarte bun pentru implementarea ISO27001 poate fi SharePoint. Versiunea care o vom folosi pentru această serie de episoade este SharePoint Fundation 2010 cu părțile bune și lipsurile aferente. Versiunea SharePoint Server chiar și versiunile mai vechi ar răspunde mai bine cerințelor de implementare a ISO27001, dar cum economisirea primează, am preferat să alegem o versiune gratuită a sistemului de management al documentelor și proceselor de afaceri.

În continuare vom detalia un exemplu de implementare pe faze și metode pentru suportul decizional pentru întreg ciclu de viață al unui sistem de management al securității.

0. Start

Organizaţia decide să implementeze prevederile standardului ISO 27001.

În această etapă se stabilește necesitatea implementării ISMS 27001 și se definesc pașii de implementare. Managerul de proiect poate folosi SPF2010 în sensul gestionării proiectului, prin crearea unui site specializat pentru această activitate sau prin crearea unei liste de tip Project Task:

Create Project Tasks list

În planul de proiect se definesc etapele și perioadele de timp necesare implementării. Pentru cei familiarizați cu instrumentele de project management, crearea și gestionarea ativităților este foarte simplă. Activitățile pot fi grupate pe categorii, conținând următoarele criterii:

Grup de activități

Componenta de noutate în SPF2010 față de versiunile anterioare de SharePoint este dată de Diagrama Gantt.

Diagrama Gantt

Pentru definirea subactivităților (A.2.1, A.2.2,…) trebuie creat un element de tip Summary Task.

Un proiect din SPF2010 poate fi exportat în Access, Excel, Outlook și, în cazul în care aveți instalat pe calculatorul client, în Microsoft Project.

SPF2010 deține un instrument destul de avansat de control al erorilor. În exemplul de mai jos, este prezentată modul în care data a fost introdusă greșit.

Eroare dată

Pentru gestionarea sedinței de deschidere se poate utiliza crearea unui eveniment în calendarul organizației și un site de tip Meeting Workspace, în care se pot posta prezentări, agenda, documentele de tip minuta ședinței, permițând integrarea agendei și invitațiilor folosind sistemul de e-mail.

 

1. Obţinerea sprijinului din partea conducerii:

Dacă s-a luat decizia de implementare, conducerea trebuie să desemneze o echipă care să elaboreze Politica de Securitate a organizaţiei. Acest document trebuie revizuit, aprobat şi adus la cunoştinţa tuturor angajaţilor, pentru a cunoaște faptul că organizația va trece la implementarea SMSI.

Pentru această etapă în SPF201 se poate defini un Document Workspace sau o listă de documente distinctă la care să aibă acces toți angajații cu permisiuni de Read pentru consultare.

Securitatea pe librarie de documente

Esențial în faza de construcție este înregistrarea versiunilor pentru a reflecta toate modificările aduse documentului.

Versiuni document

 

2. Definirea scopului SMSI:

Pentru definirea scopului nu avem un exemplu de implementare în SPF2010 fiind o rezultantă a discuției de la ședința de deschidere. Putem utiliza în schimb un Decision meeting workspace pentru a vedea rezultatele voturilor, etc.

 

3. Inventarierea activelor informaționale:

În cadrul Scopului trebuie identificate activele organizaţiei (şi valoarea asociată acestora) care trebuie protejate, rezultând documentul sau baza de date Inventarul activelor.

Sunt convins că în orice organizație există cel puțin un fișier Excel în care sunt stocate informații despre activele informaționale, cel puțin cele fizice. Sau o parte din aceste active se pot obține din aplicațiile financiar-contabile din cadrul organizației.

Varianta cea mai simplă este să centralizăm într-un fișier aceste active și să le completăm cu informațiile necesare unei liste corecte de inventar conform ISO27001.

În Excel (2007) creem această listă centralizată, după care o definim ca un tabel și o exportăm într-o nouă listă SharePoint. Ulterior putem personaliza și îmbunătăți această listă nou creată prin adăugarea de noi coloane sau personalizarea coloanelor existente. Elementele din listă se pot actualiza permanent.

Foarte interesantă este funcția de versionare în 2010. De exemplu, dacă unui activ de tip server îi schimbăm memoria sau alte caracteristici tehnice, la actualizarea listei se păstrează și versiunea anterioară. Trebuie să știți că versionarea nu este activată implicit și putem stabili numărul maxim de versiuni. Nu trebuie să omitem prezența funcțiilor de validate a datelor introduse pentru a elimina inadvertențele sau greșelile:

Validation Rule for a text field

Adăugarea unui element nou este reprezentată schematic mai jos.

Adding a new asset

Owner-ul poate fi validat prin preluarea sa automată din sistemul de autentificare.

Pe o listă se pot activa filtre, sortări asemănător cu majoritatea operațiunilor aplicabile listelor din Excel, sau poate fi exportată direct în Excel pentru efectuarea de sinteze pivot sau importul în aplicațiile de Analiză a riscurilor.

Lista completă de operațiuni este prezentată în Ribonul List.

Ribonul List din SPF2010

O altă versiune de lucru, este ca fiecare departament să aibă propria sa librărie de documente sau o librărie de documente Excel comună în care să se salveze direct fișierele cu date, fiecare actualizare trebuind în acest fel să se realizeze doar prin deschiderea în aplicația client.

 

4. Stabilirea gradului de risc asociat activelor informaţionale:

Pe baza Inventarului activelor, se va realiza Analiza de Risc, care constă în identificarea pentru fiecare activ a ameninţărilor, vulnerabilităţilor şi impactului din prisma triadei Confidențialitate-Integritate-Disponibilitate.

Metoda de calcul am preluat-o de la Adi Munteanu.

Planul de evaluare a riscurilor

Modelul prezentat în figură este implementat într-o listă personalizată SharePoint care preia amenințările și vulnerabilitățile din alte două liste specifice. Sunt multe metodologii de evaluare a riscurilor (sau mai multe detalii aici), dar prin articolul curent am încercat să exemplificăm tehnica utilizată de aplicația vsRISK care după o serie de articole este menționat ca cel mai complet produs software pentru analiza de riscuri pentru implementarea și gestionarea ISO 27001.

Trebuie să mai amintim că în modelul referit nu am inclus și Planul de tratare a riscurilor care ar presupune adăugarea unei coloane noi în lista Planul de evaluare a riscurilor (PER).

Adăugarea unuei noi intrări în PER:

Adăugare element nou în PER

Fiecare asset trebuie tratat din prisma Triadei CID, numit aici Atribut, i se alocă o amenințare din lista de Amenințări. Mai departe Probabilitatea de apariție și Impactul sunt determinate pe baza experienței consultantului. În exemplul nostru, datorită Lipsei unui sistem de detecție a incendiilor, și a faptului că se fumează în sala în care se află DVD-ul cu softul respectiv, probabilitatea de apariție a unui incendiu a fost stabilită la nivelul 3, iar impactul este relativ mic (1) pentru că un kit de instalare poate fi descărcat de pe MSDN sau TechNet în lipsa DVD-ului original. Impactul ar fi mult mai mare dacă ar arde în incendiu, contractul sau certificatul de licențiere.

Nivelul de risc asociat se calculează automat pe baza Probabilității și Impactului.

Avantajul incontestabil al acestei metode, în contextul în care nu avem o altă aplicație de management al riscurilor este acela că anual sau ori de câte ori este cazul putem reface analiza de risc și poate fi partajată pentru mai mulți untilizatori simultan. Din cunoștințele mele, vsRISK este doar pentru monopost, adică un singur om poate lucra simultan la toată analiza de risc.

Lista generată în SharePoint poate fi migrată în alte aplicații de tip Office pentru analize avansate.

 

Încheind prezentul articol, într-o notă optimistă, avem credința că mulți manageri IT vor lua în calcul o analiză de risc folosind acest instrument. Rămâne de văzut!

Aștept părerile și propunerile de îmbunătățire.

 

Disclaimer:

Acest articol nu pretinde că cel mai bun instrument pentru implementarea ISO27001 este SharePoint Fundation, sau că metodele descrise aici sunt cele mai corecte și mai bune. El pune în evidență un mod de lucru, aducând la cunoștința celor interesați, faptul că Sistemul de Management al Securității nu reprezintă doar un standard procedural, un teanc de hîrtii cu care să te acoperi, ci un standar practic de lucru securizat în cadrul organizațiilor, chiar și din România.

ISO27001: Sistemul de management al securităţii informaţionale (SMSI)

Separarea responsabilităţilor este unul din cele mai importante aspecte ale securităţii unui sistem, indiferent dacă este vorba despre securitatea unui întreg sistem sau doar a unei singure componente, de exemplu, modul de acces la sistemul de baze de date al organizaţiei.

În prezent, există un standard, ISO 27001, prin care se pot reglementa politicile şi procedurile de securitate la nivel de organizaţie sau unitate funcţională, adresată în scopul definit prin procesul implementare a unui sistem de management al securităţii (figura).

Etapele proiectării şi implementării sistemului centralizat de management al securităţii, conform ISO27001, pot fi sintetizate astfel:

Schema de proiectare şi implementare a standardului ISO27001

0. Start: Organizaţia decide să implementeze prevederile standardului ISO 27001;

1. Obţinerea sprijinului din partea conducerii: Dacă s-a luat decizia de implementare, conducerea trebuie să desemneze o echipă care să elaboreze Politica de Securitate a organizaţiei. Acest document trebuie revizuit, aprobat şi adus la cunoştinţa tuturor angajaţilor, pentru a cunoaște faptul că organizația va trece la implementarea SMSI.

2. Definirea scopului SMSI: Organizaţia trebuie să decidă asupra componentei organizaţionale ce va fi supusă certificării ISO (Scopul/domeniul certificării). În general, se stabileşte o singură componentă a sistemului informaţional: un departament, o activitate. În lume, în prezent, există doar 2700 de companii certificate pentru întregul sistem informațional. Scopul trebuie justificat, rezultând un document cunoscut sub numele de: Scopul Sistemului de Management al Securităţii Informaţionale.

3. Inventarierea activelor informaționale: În cadrul Scopului trebuie identificate activele organizaţiei (şi valoarea asociată acestora) care trebuie protejate, rezultând documentul sau baza de date Inventarul activelor.

4. Stabilirea gradului de risc asociat activelor informaţionale: Pe baza Inventarului activelor, se va realiza Analiza de Risc, care constă în identificarea pentru fiecare activ a ameninţărilor, vulnerabilităţilor şi impactului.

5a. Declaraţia de aplicabilitate (SOA – Statement Of Aplicability): În baza analizei de risc, se realizează declaraţia de aplicabilitate, specificând detaliat zonele din Scop adresate de SMSI.

5b. Planul de tratare a riscurilor: Tot în baza analizei de risc şi în conjuncţie cu SOA, se documentează controalele care vor fi implementate pentru a menţine riscurile în limite acceptabile. Acestea vor fi preluate din Anexa A ISO 27001 sau din alte documente recunoscute ca fiind „cele mai bune practici” ale domeniului. Fiecare control considerat relevant trebuie să se adreseze unui risc.

6. Stabilirea planului de implementare: Rol care trebuie asumat de managerul de proiect desemnat în faza 1 a procesului. Planul de implementare conține fazele detaliate ale proiectului, momentele de livrare a documentației alcătuită din manuale, proceduri și instrucțiuni de lucru. De asemenea, sunt desemnați responsabilii cu securitatea și responsabilii pentru fiecare etapă din proiect.

7. Derularea planului de implementare: conform fazelor planului de proiect realizat în etapa anterioară prin implementarea controalelor definite în etapele anterioare.

8. Sistemul de Management al Securităţii Informaţiilor: Este etapa în care organizaţia începe să funcţioneze după regulile stabilite în planul de implementare. Documentația de implementare a SMSI va conține: Manualul de Securitate, Manualul politicilor de securitate, Manualul procedurilor operaţionale, Manualul metricilor de securitate, Planul de continuitate a afacerii.

9. Rezultatele sistemului: Odată implementat SMSI, sistemul începe să înregistreze operațiunile derulate pe o perioadă de cel puţin 3 luni de zile. Informațiile se vor centraliza în: jurnalele de securitate, rapoartele de audit şi aplicabilitate, rapoartele de testare a componentelor sistemului, rapoartele testării utilizatorilor privire la elementele de bază ale securităţii sistemelor informaţionale.

10. Revizia rezultatelor: După implementarea controalelor, se analizează breşele pentru a identifica controalele care nu au fost implementate în totalitate sau pentru care utilizatorii necesită instruire suplimentară.

11. Acţiuni corective: Se implementează acţiunile corective prin care se remediază situaţiile identificate anterior.

12. Test de precertificare: Auditorii firmei vor efectua o verificare formală prin care certifică existenţa fizică a controalelor documentate în etapele anterioare.

13. Audit de certificare: Toată documentaţia se pune la dispoziţia unei firme/auditor acreditată să ofere certificare în baza ISO 27001. În România cele mai cunoscute organisme de certificare a SMSI sunt: Simtex şi SRAC.

 

Avantajele unui sistem standardizat de management al securităţii (SMSI) sunt regăsite în reducerea riscurilor la adresa securităţii informatice şi abordarea structurată şi standardizată a sistemului informaţional. Familiarizarea conducerii cu problemele legate de securitatea informaţiilor şi controalele asociate va determina, în mod direct, îmbunătăţirea mediului de control, implicând, în acelaşi timp, revizia cu regularitate a politicilor şi procedurilor de securitate.

Abordarea profesionistă a managementului riscurilor şi asigurarea consistenţei de securitate în schimbul de informații între componentele sistemului informaţional, va duce la creşterea capacităţii de identificare şi tratare a riscurilor.

O abordare general aplicabilă, indiferent de domeniul de activitate al organizaţiei, va determina eliminarea nevoii de evaluare separată a sistemelor şi implementare de controale individuale, constituindu-se într-un denominator comun pentru implementarea unor controale specifice. Totodată, SMSI poate asigura o reducere a costurilor cu securitatea, prin adoptarea „celor mai bune practici” ale domeniului IT&C, concentrând efortul pe implementarea controalelor.

Sumarizat, reducerea costurilor de operare şi administrare a securităţii se identifică prin:

  • Organizaţia îşi poate alege singură setul de acţiuni ce se implementează în baza analizelor cost-beneficiu.
  • Se poate demonstra conformitatea cu alte acte normative.
  • Eliminarea potenţialelor incriminări juridice.

Politicile şi procedurile de lucru formalizate reprezintă un mecanism prin care se poate măsura şi îmbunătăţi performanța securităţii informaţiilor, asigurând un cadru de lucru general, dar, în acelaşi timp, particularizabil pe specificul oricărei companii.

În studiul nostru în diferite companii din România, am identificat o serie de avantaje directe ale certificării în conformitate cu standardul ISO 27001:

  • Satisfacerea cerinţelor partenerilor de afaceri prin evidenţierea controalelor de securitate.
  • Securitatea este evaluată în raport cu un referenţial independent tehnologic.
  • Obţinerea de avantaje competitive pe piaţă.
  • Promovarea imaginii companiei ca un partener de afaceri sigur.
  • Oferirea de asigurări beneficiarilor şi demonstrarea implicării în reducerea riscurilor legate de securitatea informaţiilor.

Sunt multe companii care se ocupă cu implementarea acestui standard dar și organisme de certificare autohtone. Nu ne-am propus să discutăm despre modul în care sunt puse în practică aceste implementări, dar aducem totuși la cunoștința sau conștiința cititorilor faptul că de cele mai multe ori, certificarea pe ISO27001 înseamnă obținerea unui certificat și a unei documentații… la un preț de cele mai multe ori sub limita prețurilor de dumping.

După mai multe surse, sunt puțini implementatori sau companii care își pun problema unui instrument pentru implementarea corectă a standardului. Asta pentru că afacerea cu certificarea ISO27001 a fost dusă în zona balcanizării certificărilor asemănător standardelor ISO9001:Quality management systems (Managementul calității) sau ISO14001: Managementul Mediului… Pentru 700 de euro ai trei standarde! Nu este greu să dați o căutare pe Internet după unul din cele 3 standarde ca să vedeți listele de prețuri. Cât durează o astfel de implementare? Un răspuns probabil, îl dă ISO27006 cu privire la standardele de auditare. Dacă pentru o companie cu 2 – 10 angajați, auditul de certificare este bugetat 2 oameni 5 zile… e cineva în măsură să justifice prețuri ca cele vehiculate pe Internet pentru implementare?

În episodul următor, despre SharePoint Fundation 2010 ca instrument de implementare a ISO27001. Keep close!

Blog la WordPress.com.

SUS ↑